THE GDPR HANDBOOK

81 2. ΓΕΝΙΚΟ ΟΡΓΑΝΩΤΙΚΟ ΠΛΑΙΣΙΟ ∆ΙΑΧΕΙΡΙΣΗΣ Ι∆ΙΩΤΙKΟΤΗΤΑΣ ΚΑΙ ΑΣΦΑΛΕΙΑΣ διαρροής λόγω πλημμελούς φύλαξης των στοιχείων πληρωμών μέσω βιο- μετρικής κάρτας), δηλαδή πριν από τη λήψη μέτρων, τεχνικών (π.χ. κρυπτο- γράφηση) και οργανωτικών (π.χ. ασφαλής φύλαξη έγχαρτων αρχείων). Ο εναπομένων κίνδυνος (residual risk) είναι αυτός που εξακολουθεί να υφίστα- ται, παρά τη λήψη μέτρων (π.χ. υφιστάμενες τρωτότητες συστήματος πλη- ρωμών λόγω χρήσης ασθενών κρυπτογραφικών κλειδιών μικρού μήκους). Για μνημοτεχνικούς λόγους, η διαδικασία παρουσιάζεται στη διεθνή θεωρία διαχείρισης κινδύνου (risk management) ως διαδικασία με τέσσερα ΤΑΥ (4Τ Process) 78 : α) Terminate , δηλαδή τερματισμός του κινδύνου με αναστολή της επεξεργασίας και κλείσιμο της επιχείρησης, πρακτική που προφανώς δεν αποτελεί ρεαλιστική επιλογή κανενός φορέα, β) Tolerate , δηλαδή ανοχή ή διακράτηση του κινδύνου, ο βαθμός της οποίας εξαρτάται από την όρεξη ανάληψης ρίσκου (risk appetite) ενός οργανισμού, που είναι λογικά μικρή για ένα δημόσιο οργανισμό ή ένα φορέα κοινωνικής ασφάλισης και μεγάλη για ένα επενδυτικό σχήμα σε δομημένα ομόλογα και σύνθετα χρηματοοικονομι- κά προϊόντα (hedge fund), γ) Treat , δηλαδή αντιμετώπιση του κινδύνου με τα κατάλληλα τεχνικά, νομικά και οργανωτικά μέτρα και δ) Transfer , δηλαδή με- ταβίβαση του εναπομένοντος κινδύνου, οικονομικών ζημιών ή διοικητικών προστίμων σε τρίτο, όπως σε μια ασφαλιστική εταιρία. i. Κυβερνοασφάλιση Η κυβερνοασφάλιση (cyber-insurance) αποτελεί σημαντικό συμπληρωματικό εργαλείο διαχείρισης κινδύνου στο μέτρο που συμβάλλει στην αποτελεσμα- τική αντιμετώπιση των επιπτώσεων περιστατικών απώλειας, διαρροής και καταστροφής δεδομένων 79 . Στην περίπτωση σχεδιαζόμενης επεξεργασίας, επιθετικής και διεισδυτικής για την ιδιωτική ζωή, πριν προχωρήσετε ή όχι στην επεξεργασία, απαιτείται διαβούλευση με την Εποπτική Αρχή. Όπως προαναφέρθηκε, η ΑΠ∆ΠΧ, ασκώντας τις εξουσίες της, κατ’ άρθρο 58 ΓΚΠ∆, μπορεί να επιτρέψει, να περιορίσει ή να απαγορεύσει την εν λόγω επεξεργα- σία «υψηλού κινδύνου» για τα δικαιώματα των υποκειμένων. ∆εδομένης της ανυπαρξίας απόλυτης ασφάλειας, οργανισμοί και εταιρίες έχουν πρακτικά τη δυνατότητα μεταφοράς σε ασφαλιστικές εταιρίες των κινδύνων που οι ίδιοι δεν μπορούν να μειώσουν με την χρήση των προαναφερόμενων διαδι- κασιών και πολιτικών διαχείρισης. Τα διαθέσιμα ασφαλιστικά προϊόντα δεν είναι προφανώς σε θέση να αποτρέψουν περιστατικά παραβίασης ασφάλει- ας. Εντούτοις, είναι σε θέση να μετριάσουν τις οικονομικές και εμπορικές επιπτώσεις τους. Με τον τρόπο αυτό συμβάλλουν στην υλοποίηση του σχε- δίου αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας 78.  Βλ. άρθρο Michael Herrera , Risk control, The four T process, 13 Μαρτίου 2013, https:// www.mha-it.com/2013/03/27/the-four-ts-process/ 79.  Σχ. Domenic Antonucci, The Cyber Risk Handbook, Wiley, 2017.